ULRIKE BAUMANN ELKE FRANZ ANDREAS PFITZMANN Kryptographische Systeme eXamen.press isteineReihe,dieTheorieund Praxis ausallenBereichenderInformatikfür dieHochschulausbildungvermittelt. Ulrike Baumann (cid:2) Elke Franz (cid:2) Andreas Pfitzmann Kryptographische Systeme UlrikeBaumann AndreasPfitzmann(verstorben) FachrichtungMathematikInstitutfürAlgebra TechnischeUniversitätDresden TechnischeUniversitätDresden Dresden,Sachsen,Deutschland Dresden,Deutschland ElkeFranz FakultätInformatikInstitutfür Systemarchitektur TechnischeUniversitätDresden Dresden,Deutschland ISSN1614-5216 eXamen.press ISBN978-3-642-45332-8 ISBN978-3-642-45333-5(eBook) DOI10.1007/978-3-642-45333-5 DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;detaillierte bibliografischeDatensindimInternetüberhttp://dnb.d-nb.deabrufbar. SpringerVieweg ©Springer-VerlagBerlinHeidelberg2014 DasWerkeinschließlichallerseinerTeileisturheberrechtlichgeschützt.JedeVerwertung,dienichtausdrücklich vomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenZustimmungdesVerlags.Dasgiltinsbesondere fürVervielfältigungen,Bearbeitungen,Übersetzungen,MikroverfilmungenunddieEinspeicherungundVerar- beitunginelektronischenSystemen. DieWiedergabevonGebrauchsnamen,Handelsnamen,Warenbezeichnungenusw.indiesemWerkberechtigt auchohnebesondereKennzeichnungnichtzuderAnnahme,dasssolcheNamenimSinnederWarenzeichen- undMarkenschutz-Gesetzgebungalsfreizubetrachtenwärenunddahervonjedermannbenutztwerdendürften. DerVerlag,dieAutorenunddieHerausgebergehendavonaus,dassdieAngabenundInformationenindiesem WerkzumZeitpunktderVeröffentlichungvollständigundkorrektsind.WederderVerlagnochdieAutorenoder dieHerausgeberübernehmen,ausdrücklichoderimplizit,GewährfürdenInhaltdesWerkes,etwaigeFehleroder Äußerungen. GedrucktaufsäurefreiemundchlorfreigebleichtemPapier Springer-VerlagBerlinHeidelbergistTeilderFachverlagsgruppeSpringerScience+BusinessMedia (www.springer.com) Vorwort Vor fünf Jahren wurde an Professor Andreas Pfitzmann der Wunsch herangetragen, ein Buch zum Thema Kryptographiezu verfassen. Da die Autorendes vorliegendenBuches sich auchschongemeinsamin der Lehrezu diesemThemaengagierthatten,ist dieIdee aufgekommen,dasAnliegenalseingemeinsamesProjektanzugehen.AmAusgangspunkt standen umfangreiche Diskussionen darüber, was zu dem Thema gesagt werden sollte, wasdabeifürunsbesonderswichtigistundanwelcheZielgruppensichdasBuchrichten soll.DasBuchhatsehrdavonprofitiert,dassBeteiligteausunterschiedlichenFachberei- chen daran gearbeitet haben – es gab viel voneinander zu lernen und am Beginn stand eineumfangreicheAbstimmungsarbeit,seiesübereineeinheitlicheNotation,dieStruktur des Buches oder die Ausführlichkeit der Darstellung. Gerade diese Diskussionen haben wir gewollt und sie so intensiv und ausgiebig geführt, dass sie uns in eine reibungslose ZusammenarbeitgeführtundwährenddergesamtenBearbeitungbishinzurEndredaktion begleitethaben. LeiderkonntenwirdasgemeinsambegonneneProjektnichtgemeinsamzumAbschluss bringen.Nachkurzer,schwererKrankheitverstarbAndreasPfitzmannundwurdeauchan dieserStellemittenausderArbeitanseinenVorhabengerissen. EshateinigeZeitgedauert,biswirunsentschiedenhatten,wiewirmitdembegonne- nenWerkumgehenwollen.Wirhabenunsdazuentschlossen,eszumgeplantenAbschluss zu bringen. Die Inhalte und die Atmosphäre der ausführlichen Diskussionen, die wir zu Beginn geführt hatten, haben uns bei der Fortführung der Arbeit an den noch fehlenden Buchkapiteln begleitet. Wir haben das Gefühl, dass das Ergebnis unseren gemeinsamen Vorstellungen entspricht und dass das jetzt erfolgreich zu Ende gebrachte Vorhaben An- dreasPfitzmannaufunsereWeiseeinbleibendesAndenkensetzenwird. WirbedankenunsbeiHerrnHermannEngesservomSpringer-Verlag,derunsinunse- remVorhabenermutigtundbekräftigthat. Dresden,Deutschland UlrikeBaumann Juli2014 ElkeFranz v Inhaltsverzeichnis 1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 HistorischeChiffrenundderenAnalyse . . . . . . . . . . . . . . . . . . 3 2.1 BeispielefürVerschlüsselungen . . . . . . . . . . . . . . . . . . . . . 3 2.2 HäufigkeitsverteilungderBuchstaben . . . . . . . . . . . . . . . . . . 5 2.3 DieVigenère-ChiffreundderenAnalyse . . . . . . . . . . . . . . . . 9 2.4 DieEnigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3 KryptographischeSystemeundihreSchlüsselverteilung . . . . . . . . . 25 3.1 KryptographiealsSchutzmechanismus . . . . . . . . . . . . . . . . . 25 3.1.1 BedrohungenundSchutzziele . . . . . . . . . . . . . . . . . . 25 3.1.2 Angreifermodelle . . . . . . . . . . . . . . . . . . . . . . . . 29 3.2 BeschreibungkryptographischerSysteme . . . . . . . . . . . . . . . . 33 3.3 KriterienzurKlassifizierung . . . . . . . . . . . . . . . . . . . . . . . 34 3.4 SymmetrischesKonzelationssystem . . . . . . . . . . . . . . . . . . . 37 3.5 SymmetrischesAuthentikationssystem . . . . . . . . . . . . . . . . . 41 3.6 AsymmetrischesKonzelationssystem . . . . . . . . . . . . . . . . . . 42 3.7 AsymmetrischesAuthentikationssystembzw.digitalesSignatursystem 47 3.8 WeitereAnmerkungenzumSchlüsselaustausch . . . . . . . . . . . . . 52 3.8.1 WemwerdenSchlüsselzugeordnet?. . . . . . . . . . . . . . . 52 3.8.2 WievieleSchlüsselmüssenausgetauschtwerden? . . . . . . . 53 3.8.3 SicherheitdesSchlüsselaustauschsbegrenztkryptographisch erreichbareSicherheit . . . . . . . . . . . . . . . . . . . . . . 54 3.9 HybridekryptographischeSysteme . . . . . . . . . . . . . . . . . . . 55 3.10 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 3.11 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 vii viii Inhaltsverzeichnis 4 SicherheitkryptographischerSysteme . . . . . . . . . . . . . . . . . . . 63 4.1 AussagenzurSicherheit:ZieleundGrenzen . . . . . . . . . . . . . . 63 4.2 AngriffszieleundAngriffserfolge . . . . . . . . . . . . . . . . . . . . 65 4.3 KlassifizierungvonAngriffen . . . . . . . . . . . . . . . . . . . . . . 67 4.3.1 PassiveAngriffe . . . . . . . . . . . . . . . . . . . . . . . . . 67 4.3.2 AktiveAngriffe . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.3.3 Zusammenhangzwischenbeobachtendem/veränderndemund passivem/aktivemAngreifer . . . . . . . . . . . . . . . . . . . 71 4.4 InformationstheoretischeSicherheitnachSHANNON . . . . . . . . . . 72 4.4.1 InformationstheoretischeGrundlagen . . . . . . . . . . . . . . 72 4.4.2 DefinitionderinformationstheoretischenSicherheit . . . . . . 76 4.4.3 BedingungenfürinformationstheoretischeSicherheit . . . . . 79 4.4.4 Nachrichten-undSchlüsseläquivokation . . . . . . . . . . . . 86 4.4.5 Eindeutigkeitsdistanz . . . . . . . . . . . . . . . . . . . . . . 88 4.5 GrundsätzlichesüberSystememitgeringererSicherheit . . . . . . . . 90 4.6 WeitereSicherheitsbegriffe . . . . . . . . . . . . . . . . . . . . . . . 93 4.6.1 Beschränkungender„beweisbarenSicherheit“ . . . . . . . . . 93 4.6.2 SemantischeSicherheitundprobabilistischeVerschlüsselung . 94 4.6.3 SicherheitgegenaktiveAngriffe:Non-Malleability . . . . . . 96 4.7 AnforderungenansichereVerschlüsselungsoperationen . . . . . . . . 98 4.8 AnforderungenandieSicherheitkryptographischerSysteme. . . . . . 99 4.9 ÜberblicküberdiehiervorgestelltenkryptographischenSysteme . . . 101 4.10 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 4.11 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 5 PraktischerBetriebkryptographischerSysteme . . . . . . . . . . . . . . 107 5.1 SchutzgegenzufälligeFehler . . . . . . . . . . . . . . . . . . . . . . 107 5.2 VerwendungmehrererkryptographischerSysteme . . . . . . . . . . . 108 5.3 BlockchiffrenundStromchiffren . . . . . . . . . . . . . . . . . . . . 111 5.4 BetriebsartenvonBlockchiffren . . . . . . . . . . . . . . . . . . . . . 113 5.4.1 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 5.4.2 ElectronicCodebook(ECB) . . . . . . . . . . . . . . . . . . . 114 5.4.3 CipherBlockChaining(CBC). . . . . . . . . . . . . . . . . . 116 5.4.4 CipherFeedback(CFB) . . . . . . . . . . . . . . . . . . . . . 119 5.4.5 OutputFeedback(OFB) . . . . . . . . . . . . . . . . . . . . . 121 5.4.6 CounterMode(CTR) . . . . . . . . . . . . . . . . . . . . . . 122 5.4.7 ZusammenfassungderEigenschaftenderBetriebsartenzur Konzelation . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 5.4.8 Cipher-BasedMessageAuthenticationCode(CMAC) . . . . . 125 5.4.9 BetriebsartenzurKonzelationundAuthentikation . . . . . . . 125 5.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 5.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Inhaltsverzeichnis ix 6 AlgebraischeGrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . 129 6.1 AlgebraischeStrukturen . . . . . . . . . . . . . . . . . . . . . . . . . 129 6.1.1 Gruppen,Ringe,Körper . . . . . . . . . . . . . . . . . . . . . 129 6.1.2 ZyklischeGruppen. . . . . . . . . . . . . . . . . . . . . . . . 135 6.2 ModulareArithmetik . . . . . . . . . . . . . . . . . . . . . . . . . . 138 6.2.1 TeilerundDivisionmitRest . . . . . . . . . . . . . . . . . . . 138 6.2.2 DerRestklassenringmodulon . . . . . . . . . . . . . . . . . 140 6.2.3 DieprimeRestklassengruppemodulon . . . . . . . . . . . . . 142 6.2.4 EffizientesPotenzierenmodulon . . . . . . . . . . . . . . . . 147 6.2.5 ChinesischerRestsatz(CRT) . . . . . . . . . . . . . . . . . . 148 6.2.6 Quadratwurzelnmodulop . . . . . . . . . . . . . . . . . . . . 151 6.2.6.1 Quadratwurzelnmodulop,pprim,p≡3(mod4). . 152 6.2.6.2 Quadratwurzelnmodulop,pprim,p≡1(mod4). . 153 6.2.7 Quadratwurzelnmodulopq . . . . . . . . . . . . . . . . . . . 155 6.3 PrimzahlenundPrimzahltests . . . . . . . . . . . . . . . . . . . . . . 160 6.3.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 6.3.2 Probedivision . . . . . . . . . . . . . . . . . . . . . . . . . . 163 6.3.3 SatzvonWILSON . . . . . . . . . . . . . . . . . . . . . . . . 164 6.3.4 AKS-Primzahltest . . . . . . . . . . . . . . . . . . . . . . . . 164 6.3.5 FERMAT-Primzahltest . . . . . . . . . . . . . . . . . . . . . . 167 6.3.6 RABIN-MILLER-Primzahltest . . . . . . . . . . . . . . . . . . 169 6.3.7 WiefindetmangroßePrimzahlen? . . . . . . . . . . . . . . . 171 6.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 6.5 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 7 SymmetrischeVerfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 7.1 AllgemeineGrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . 175 7.2 InformationstheoretischsichereKryptosysteme . . . . . . . . . . . . . 177 7.2.1 Vernam-Chiffre(One-TimePad) . . . . . . . . . . . . . . . . 177 7.2.2 InformationstheoretischsichereAuthentikationskodes . . . . . 182 7.2.2.1 GenauereSicherheitsdefinition . . . . . . . . . . . . 183 7.2.2.2 Ausblick:GrenzenvonAuthentikationskodes . . . . 184 7.3 Pseudo-One-Time-Pad . . . . . . . . . . . . . . . . . . . . . . . . . . 185 7.3.1 AnforderungenanPseudozufallsbitfolgengeneratoren . . . . . 185 7.3.1.1 WasisteinPseudozufallsbitfolgengenerator(PBG)? . 185 7.3.1.2 VerwendungalsPseudo-One-Time-Pad . . . . . . . . 186 7.3.1.3 ForderungenaneinenPBG . . . . . . . . . . . . . . 187 7.3.2 Ders2-mod-n-Generator . . . . . . . . . . . . . . . . . . . . 189 7.3.2.1 Sicherheitsbetrachtung . . . . . . . . . . . . . . . . 190 7.4 DataEncryptionStandard(DES) . . . . . . . . . . . . . . . . . . . . 190 7.4.1 Grundlage:Feistel-Chiffre . . . . . . . . . . . . . . . . . . . . 190 7.4.2 KurzerÜberblickzurGeschichtedesDES . . . . . . . . . . . 192 7.4.3 BeschreibungdesAlgorithmus . . . . . . . . . . . . . . . . . 192 x Inhaltsverzeichnis 7.4.4 EigenschaftendesDES . . . . . . . . . . . . . . . . . . . . . 195 7.4.5 3-DES:MehrfachverschlüsselungzurErhöhungderSicherheit 196 7.4.6 AnalysedesDES . . . . . . . . . . . . . . . . . . . . . . . . 197 7.5 AdvancedEncryptionStandard(AES) . . . . . . . . . . . . . . . . . 198 7.5.1 KurzerÜberblickzurGeschichtedesAES . . . . . . . . . . . 198 7.5.2 BeschreibungdesAlgorithmus . . . . . . . . . . . . . . . . . 199 7.5.3 AnalysedesAES . . . . . . . . . . . . . . . . . . . . . . . . 205 7.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 7.7 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 8 AsymmetrischeVerfahren . . . . . . . . . . . . . . . . . . . . . . . . . . 209 8.1 EinwegfunktionenundTrapdoor-Einwegfunktionen . . . . . . . . . . 209 8.2 DasRucksack-ProblemunddasMerkle-Hellman-Kryptosystem . . . . 212 8.3 SystemeaufderGrundlagedesFaktorisierungsproblems . . . . . . . . 215 8.3.1 DasFaktorisierungsproblem . . . . . . . . . . . . . . . . . . . 215 8.3.2 DasRSA-Kryptosystem . . . . . . . . . . . . . . . . . . . . . 216 8.3.2.1 MathematischeGrundlagen . . . . . . . . . . . . . . 216 8.3.2.2 PrinzipdesRSA-Kryptosystems . . . . . . . . . . . 221 8.3.2.3 NaiverundunsichererEinsatzvonRSA . . . . . . . 222 8.3.2.4 Angriffe,insbesonderemultiplikativeAngriffevon DAVIDAundMOORE . . . . . . . . . . . . . . . . . 224 8.3.2.5 SichererEinsatzvonRSA . . . . . . . . . . . . . . . 231 8.3.2.6 EffizienteImplementierungvonRSA . . . . . . . . . 235 8.3.3 Faktorisierungsalgorithmen . . . . . . . . . . . . . . . . . . . 237 8.3.3.1 DasQuadratischeSieb. . . . . . . . . . . . . . . . . 237 8.3.3.2 AlgorithmusvonShor . . . . . . . . . . . . . . . . . 241 8.3.4 DasBlum-Goldwasser-Kryptosystem . . . . . . . . . . . . . . 242 8.4 KryptosystemeaufderGrundlagedesProblemsdesDiskreten Logarithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 8.4.1 DasProblemdesDiskretenLogarithmus . . . . . . . . . . . . 246 8.4.2 DerDiffie-Hellman-Schlüsselaustausch . . . . . . . . . . . . . 247 8.4.3 DasElGamal-Kryptosystem . . . . . . . . . . . . . . . . . . . 249 8.4.3.1 PrinzipdesElGamal-Kryptosystems . . . . . . . . . 249 8.4.3.2 AngriffeaufdasElGamal-Verfahren . . . . . . . . . 251 8.4.3.3 SichereVerwendungvondesElGamal-Verfahrens . . 252 8.4.4 VerfahrenzumLösendesProblemsdesdiskretenLogarithmus 253 8.4.4.1 POHLIG-HELLMAN-Verfahren . . . . . . . . . . . . 254 8.4.4.2 Indexkalkül-Methode . . . . . . . . . . . . . . . . . 256 8.4.5 ElliptischeKurveninderKryptographie . . . . . . . . . . . . 257 8.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 8.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265